Hacking WPA3: DragonBlood

Несмотря на то, что новый стандарт WPA3 еще толком не введен в эксплуатацию, недостатки безопасности в этом протоколе позволяют злоумышленникам взломать пароль Wi-Fi.

Wi-Fi Protected Access III (WPA3) waard lansearre yn in besykjen om de technyske tekoarten fan it WPA2-protokol oan te pakken, dat lang as ûnfeilich en kwetsber waard beskôge foar KRACK (Key Reinstallation Attack). Hoewol WPA3 fertrout op in feiliger handshake bekend as Dragonfly, dy't as doel hat om Wi-Fi-netwurken te beskermjen tsjin offline-wurdboekoanfallen (offline brute force), fûnen feiligensûndersikers Mathy Vanhoef en Eyal Ronen swakkens yn in betide ymplemintaasje fan WPA3-Personal dy't mooglik meitsje kinne in oanfaller om Wi-Fi-wachtwurden te herstellen troch timings of side-caches te misbrûken.

«Злоумышленники могут прочитать информацию, которую, как предполагалось, WPA3 безопасно шифрует. Это может быть использовано для кражи конфиденциальной информации, такой как номера кредитных карт, пароли, сообщения чата, электронные письма и т. д.»

Publisearre hjoed ûndersyk dokumint, названном DragonBlood, исследователи подробно рассмотрели два типа недостатков проектирования в WPA3: первый ведет к атакам с понижением рейтинга, а второй — к утечкам побочного кеша.

Атака по побочному каналу на основе кеша

Dragonfly's wachtwurdkodearjende algoritme, ek wol it jacht- en pikken-algoritme neamd, befettet betingsten tûken. As in oanfaller kin bepale hokker tûke fan 'e if-then-else branch nommen is, kin hy útfine oft it wachtwurdelemint fûn is yn in bepaalde iteraasje fan dat algoritme. Yn 'e praktyk is it fûn dat as in oanfaller unprivilegearre koade kin útfiere op in slachtofferkomputer, it mooglik is om cache-basearre oanfallen te brûken om te bepalen hokker tûke besocht waard yn' e earste iteraasje fan it wachtwurdgeneraasjealgoritme. Dizze ynformaasje kin brûkt wurde foar it útfieren fan in wachtwurd splitting oanfal (dit is gelyk oan in offline wurdboek oanfal).

Эта уязвимость отслеживается с использованием идентификатора CVE-2019-9494.

Защита заключается в замене условных ветвей, которые зависят от секретных значений, утилитами выбора с постоянным временем. Реализации должны также использовать вычисление Legendre syn symboal mei konstante tiid.

Атака по побочному каналу на основе синхронизации

As de Dragonfly-handshake bepaalde multiplikative groepen brûkt, brûkt it wachtwurdkodearjende algoritme in fariabele oantal iteraasjes om it wachtwurd te kodearjen. It krekte oantal iteraasjes hinget ôf fan it brûkte wachtwurd en it MAC-adres fan it tagongspunt en kliïnt. In oanfaller kin in oanfal op ôfstân útfiere op it wachtwurdkodearjen algoritme om te bepalen hoefolle iteraasjes it duorre om it wachtwurd te kodearjen. De weromhelle ynformaasje kin brûkt wurde om in wachtwurdoanfal út te fieren, dy't fergelykber is mei in offline wurdboekoanfal.

Чтобы предотвратить атаку на основе синхронизации, реализации должны отключить уязвимые мультипликативные группы. С технической точки зрения, группы MODP 22, 23 и 24 должны быть отключены. Также рекомендуется отключить группы MODP 1, 2 и 5.

Эта уязвимость также отслеживается с использованием идентификатора CVE-2019-9494 из-за схожести реализации атаки.

WPA3 downgrade

Поскольку 15-летний протокол WPA2 широко использовался миллиардами устройств, широкое распространение WPA3 не произойдет в одночасье. Для поддержки старых устройств сертифицированные WPA3 устройства предлагают «переходный режим работы», который можно настроить для приема соединений с использованием как WPA3-SAE, так и WPA2.

Исследователи считают, что переходный режим уязвим для атак с понижением рейтинга, которые злоумышленники могут использовать для создания мошеннической точки доступа, поддерживающей только WPA2, что заставляет устройства, поддерживаемые WPA3, подключаться с помощью небезопасного четырехстороннего рукопожатия WPA2.

«Мы также обнаружили атаку с понижением рейтинга против самого рукопожатия SAE («Одновременная аутентификация равных», обычно известного как «Стрекоза»), где мы можем заставить устройство использовать более слабую эллиптическую кривую, чем обычно», — говорят исследователи.

Более того, позиция «человек посередине» не нужна для проведения атаки с понижением рейтинга. Вместо этого злоумышленникам нужно знать только SSID сети WPA3-SAE.

Исследователи сообщили о своих результатах Wi-Fi Alliance, некоммерческой организации, которая сертифицирует стандарты WiFi и продукты Wi-Fi на соответствие, которые признали проблемы и работают с поставщиками для исправления существующих устройств, сертифицированных WPA3.

PoC (на момент публикации — 404)

В качестве подтверждения концепции исследователи в скором времени выпустят следующие четыре отдельных инструмента (в репозиториях GitHub с гиперссылкой ниже), которые можно использовать для проверки уязвимостей.

Dragondrain — инструмент, который может проверить, в какой степени точка доступа уязвима для Dos-атак на рукопожатие WPA3 Dragonfly.
Dragontime — экспериментальный инструмент для проведения временных атак против рукопожатия Dragonfly.
Drakekracht — экспериментальный инструмент, который получает информацию для восстановления после временных атак и выполняет парольную атаку.
Dragon Slayer — инструмент, который осуществляет атаки на EAP-pwd.

Dragonblood: A Security Analysis of WPA3’s SAE Handshake
Projektwebside - wpa3.mathyvanhoef.com

Boarne: www.habr.com